ブロ-SYSMONは何ですか?
ブロ- OSQuery(によって触発https://github.com/bro/bro-osquery)プロジェクト、ブロ- IDS(ブロ)するために、Windowsがアクティビティをエンドポイント監視ので、このソフトウェアを開発しました
送信元アドレス:https://github.com/salesforce/bro-sysmon/
技術の使用
より多くのサンプルベースの暗号化、及びネットワーク特性データのハッシュ値を提供することができるJA3のHASSH指紋などのネットワークトラフィックを分析します。これらのツールは、暗号化ライブラリ、アプリケーション自体、基礎となるオペレーティング・システムまたはバイパス技術の構成の変化に応じて指紋を作成します。
表示モード
Windowsのの統合に関するブロ-SYSMONフォーカス。SYSMON ID 3の:とSSL / TLSブロアナライザはされてネットワークに接続されたプロセスIDが含まれているログレコード、実行可能ファイルのパスとJA3指紋を生成するために、。
mapJA3-Proc.broスクリプトによって作成された出力の例をMapja3.log。
DESKTOP-SHFK4CF 2836 192.168.200.100 53223 35.231.36.130 443 54328bd36c14bd82ddaa0c04b25ed9ad faa88e75a7471aaa07850841e28f87f1 www.usualsusp3cts.com C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe — CN=usualsusp3cts.com CN=Let’s Encrypt Authority X3,O=Let’s Encrypt,C=US
1、JSONフォーマットは、SYSMONイベントをログに記録します。
2、ログのPythonのJSON形式のスクリプトを読んで、スクリプトは、ブロ、JSONの解析ログとの通信を確立ブロイベントを生成し、メッセージバスにイベントを発行します。
3、ブロは、メッセージ・バスと、トリガイベントをサブスクライブします。
4、これらのイベントを処理するためのブロスクリプト。SYSMONスクリプトは、ディスクへのイベントによって提供されます。さらに処理するために、マッピングスクリプトJA3を実行するための手段を含みます。
利用シーン
C2ドメインwww.usualsusp3cts.comは、暗号化証明書を使用しています。
ログからSsl.log例。
1544648162.452073 CTbIwm1WsTyY0UVwD 192.168.200.100 53256 35.231.36.130 443 TLSv10 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA www.usualsusp3cts.com F — — T Fxm3n21gKDX2gxnK0e,FFzF7E3fy4C2Wa7qM3 (empty) CN=usualsusp3cts.com CN=Let’s Encrypt Authorit X3,O=Let’s Encrypt,C=US — — ok 54328bd36c14bd82ddaa0c04b25ed9ad faa88e75a7471aaa07850841e28f87f1
1544648495.863132 C39S4l1DLLpknJSOh9 192.168.200.100 53267 35.231.36.130 443 TLSv10 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA www.usualsusp3cts.com F — — T Fi89Ii46H5HLo2tE6d,FP9n7QotVOK9ONPte (empty) CN=usualsusp3cts.com CN=Let’s Encrypt Authorit X3,O=Let’s Encrypt,C=US — — ok 54328bd36c14bd82ddaa0c04b25ed9ad faa88e75a7471aaa07850841e28f87f1
イベントの詳細はPROCESSIDと画像を生成し、ネットワークトラフィックを提供します。
この情報を収集することにより、アナリストは、被害者の指揮統制を見ることができます。
Source Address: 192.168.200.100
Destination Address: 35.231.36.130
Domain Name: www.usualsusp3cts.com
JA3: 54328bd36c14bd82ddaa0c04b25ed9ad
Process: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
指紋は、ホスト上のアプリケーションにマップされたどのようJA3とHASSH?
近くにリアルタイムのデータ収集にJSONを提供するために、Windowsホストストリーミングイベントやログからの切り替え。以下は、被害者が3952のイベント形式のJSON形式にホストからのイベントを開催します。
'event_data': {
'DestinationHostname': '130.36.231.35.bc.googleusercontent.com',
'DestinationIp': '35.231.36.130',
'DestinationIsIpv6': 'false',
'DestinationPort': '443',
'DestinationPortName': 'https',
'Image': 'C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe',
'Initiated': 'true',
'ProcessGuid': '{9A5530DB-7A19–5C11–0000–00105331C300}',
'ProcessId': '3952',
'Protocol': 'tcp',
'SourceHostname': 'DESKTOP-SHFK4CF',
'SourceIp': '192.168.200.100',
'SourceIsIpv6': 'false',
'SourcePort': '53223',
'User': 'DESKTOP-SHFK4CF\\Kai',
'UtcTime': '2018–12–11 04:52:43.748'
}
接続情報(PID、送信元IP、送信元ポート、宛先IPアドレス、宛先ポート)ネットワークのネットワークイベントIDを介して情報を見つける元祖。